确保SMB数字资产安全的三个简单建议
虽然大多数新闻网站只报道大型组织的攻击和数据泄露,但是您的小企业也同样面临着风险,甚至是更大的风险。
根据Keeper Security的报告,2017年,61 %的中小企业遭受攻击,54 %的中小企业遭受数据泄露。
您的公司可能规模较小,但这正是它更容易受到攻击的原因。对于攻击者来说,这意味着您不太可能有一个稳固的安全策略,更不可能有一个网络安全团队来监控您的数字资产。
仅仅因为您的公司规模小,并不意味着您必须接受这个潜在的安全威胁。相反,用正确的保险保护自己免受攻击或破坏,知道最脆弱的部分是哪里,和更好的员工安全管理。
1. 识别脆弱的资产
只有37%的小企业对其数字资产存储的安全性非常有信心。在这样一种远程协作的文化中,如果不是大部分或全部雇员的话,资产必须能够随时提供给大量的雇员。这使他们的安全具有挑战性。
好消息是,并非所有资产都应该受到关注。旧的新闻稿或最近的产品照片不可能成为黑客攻击或破坏的目标。
然而,根据VaultOne首席执行官Leonardo Cooper的说法,以下资产容易受到攻击,因此应该受到保护:
域名注册商:可能甚至不认为您的域名是一种资产,但它确实属于您的资产,它是您最脆弱的资产之一。Cooper建议,“管理层应该将访问域名凭证放在保险库或安全的地方,不要通过电子邮件与同事讨论密码或用户名。访问权限应仅限于少数几个选定的团队成员,他们的角色决定了他们需要访问DNS,密码应经常按照基本的密码安全规则进行更改。”
备份系统:云存储极其脆弱,全球一些最大的公司在这里存储的数据遭到破坏。您的最佳保护方法有两个:养成将云中所有资产备份到外部硬盘的习惯,并制定一个应急计划,以防最坏的情况发生。
使用CodeGuard提供的每日自动备份保护HostGator网站。
第三方支付服务:虽然使用第三方支付处理器看起来更安全,但很难确定他们的安全实践究竟是什么。不要让您的数据,或客户的数据,落入坏人手中,使用一个简单的技术:双因素身份验证( 2FA )。这增加了额外的安全层,因为需要另一个密码,特定代码,或者使用Google Authenticator,这样的应用程序,使得黑客攻击变得更加困难。
2. 加强网络防御
有很多方法可以确保您有强大的防御能力来保护您的企业以防受到攻击。这里有两个简单的方法来巩固您目前的安全措施。
网络责任:您为您的企业投保是为了避免与员工或客户发生昂贵的法律纠纷,但是您也有网络责任保险吗?更新您当前的保险计划,以保护您的数字资产:
根据指南,网络责任:如何保护您的业务一文的说法,“一些一般商业所有者的政策将包括在发生网络攻击的情况下保护企业的具体规定。根据您的具体政策和业务,您可能需要错误和遗漏保险,以保护您的公司不因您或您的雇员的错误,甚至具体的网络安全政策而产生的责任。”
这种额外的保护可能会包含在您的当前策略中,以便快速更新。
更好的保护:如果您没有安全团队,您的下一个最佳选择是与能够监控您的域和资产的漏洞或漏洞的服务提供商合作。选择服务提供商可能会很困难。PolySwarm公司的CEO,Steve Bassi分享了一些关于产品和团队审查的建议:
“公司不应该看任何一个工具,而应该看服务提供商是如何用深度防御和响应来保护他们。换句话说,服务提供商如何计划对防御层进行部署,并为他们配备有经验的技术人员呢?”
不要忘记问这些问题,比如自动化监控和威胁检测。Bassi继续道,“一个好的提供者将提供工具来自动检测员工机器上和跨服务器的攻击者。这方面的一个很好的例子是像Carbon black这样的工具,它做了一些非常简单的事情:如果它看到一个以前从未在企业中看到过的应用程序,它就会向您报告。这是一个防御层,但一个好的服务提供商应该分析任何外国的应用程序,看看它们是否有恶意。”
使用SiteLock保护您的网站免受恶意软件和数字威胁:
3. 应对最大威胁:员工
您最大的网络安全威胁不是外部攻击者,而是为您工作的人——或者以前的员工。而在某些情况下,他们的目的并不是为了伤害公司,员工可以接触到由于缺乏强密码或共享和安全管理不善而可能遭到破坏或攻击的各种资产。在许多情况下,甚至前雇员也仍然可以获得这些资产。
事实上,2017至2018年度全球欺诈和风险报告发现,在报告安全事件的企业中,有71%的企业将内部人士列为肇事者。更重要的是,他们发现其中39%的犯罪者是低级员工,37%是以前的员工。
在中小型企业中,有两种方法可以解决这一问题:
创建一种安全文化,在这种文化中,所有员工都被授权在他们的交互中保持安全,并且所有员工登录的需求(比如2FA)都被强制实施。
员工被解雇或辞职时要遵循特定的程序。即使离开的条件很好,如果员工仍然可以访问,您的资产也很脆弱。
一般来说,在小企业,创造一种安全文化是明智的,它鼓励员工拥有自己和企业的安全。TechBeacon与您的团队分享了实现这一目标的六大秘诀:
提醒员工:安全属于每一个人。
关注安全意识。
创建一个安全的开发生命周期。
奖励那些做正确的工作来确保安全的员工。
创建一个安全社区。
让安全变得有趣和有吸引力。
认真对待数字资产安全问题
网络安全绝不是小企业的笑柄。随着如此多的数字资产正在被创建、使用和共享,这是一个需要解决的重要漏洞。幸运的是,有许多方法可以保护您的企业免受破坏或攻击,包括与安全顾问合作,创建安全文化,并识别和保护最脆弱的资产。
使用我们的免费Website Security Checklist了解更多有关保护小型企业网站安全的信息。
相关阅读:为什么要使用网站安全检查器